Curly COMrades APT
Μια προηγουμένως μη καταγεγραμμένη ομάδα κυβερνοαπειλών, με την ονομασία Curly COMrades, έχει παρατηρηθεί να στοχεύει οντότητες υψηλού προφίλ στη Γεωργία και τη Μολδαβία. Αυτή η εκστρατεία φαίνεται να στοχεύει στη μακροπρόθεσμη διείσδυση και συλλογή πληροφοριών εντός στοχευμένων δικτύων. Οι δραστηριότητες της ομάδας αποκαλύπτουν μια υπολογισμένη, επίμονη και κρυφή προσέγγιση που ευθυγραμμίζεται με τα γεωπολιτικά συμφέροντα της Ρωσίας.
Πίνακας περιεχομένων
Στόχοι Υψηλής Αξίας και Πρώιμη Δραστηριότητα
Από τα μέσα του 2024, η ομάδα έχει επικεντρωθεί σε δικαστικά και κυβερνητικά όργανα στη Γεωργία και σε μια εταιρεία διανομής ενέργειας στη Μολδαβία. Η ανάλυση των αντικειμένων της επίθεσης δείχνει ότι η επιχείρηση ξεκίνησε νωρίτερα από ό,τι αρχικά πιστευόταν, με την πρώτη επιβεβαιωμένη χρήση του προσαρμοσμένου backdoor τους, MucorAgent, να χρονολογείται από τον Νοέμβριο του 2023, αν και η δραστηριότητα πιθανότατα ξεκίνησε πριν από τότε.
Στρατηγικοί Στόχοι και Τακτικές
Το τελικό αποτέλεσμα για τους Curly COMrades είναι η παρατεταμένη πρόσβαση στο δίκτυο, επιτρέποντας την αναγνώριση, την κλοπή διαπιστευτηρίων και την βαθύτερη πλευρική κίνηση. Συνδυάζουν τυπικές τεχνικές επίθεσης με προσαρμοσμένες εφαρμογές για να ενσωματωθούν στις νόμιμες λειτουργίες του συστήματος. Η καμπάνια τους χαρακτηρίζεται από:
- Επαναλαμβανόμενες δοκιμές και σφάλματα για τη βελτίωση της πρόσβασης
- Πλεονάζουσες μέθοδοι για τη διασφάλιση της ανθεκτικότητας
- Σταδιακά βήματα ρύθμισης για την αποφυγή ανίχνευσης
Κλοπή Διαπιστευτηρίων στον Πυρήνα
Οι επιτιθέμενοι προσπάθησαν επανειλημμένα να υποκλέψουν αρχεία βάσης δεδομένων NTDS από ελεγκτές τομέα, στοχεύοντας σε hashes κωδικών πρόσβασης και δεδομένα ελέγχου ταυτότητας. Προσπάθησαν επίσης να απορρίψουν τη μνήμη LSASS από επιλεγμένα μηχανήματα, με στόχο την ανάκτηση των ενεργών διαπιστευτηρίων χρήστη, συμπεριλαμβανομένων πιθανών κωδικών πρόσβασης απλού κειμένου.
Κατάχρηση Νόμιμων Εργαλείων για Αθόρυβη Λειτουργία
Ένα χαρακτηριστικό γνώρισμα των λειτουργιών της Curly COMrades είναι η χρήση αξιόπιστου λογισμικού και υπηρεσιών για την απόκρυψη κακόβουλης δραστηριότητας. Αξιοσημείωτα εργαλεία περιλαμβάνουν:
Resocks, SOCKS5, SSH και Stunnel – δημιουργώντας πολλαπλές σήραγγες πρόσβασης σε εσωτερικά δίκτυα και επιτρέποντας την απομακρυσμένη εκτέλεση εντολών.
Νόμιμοι αλλά παραβιασμένοι ιστότοποι – που λειτουργούν ως μυστικοί κόμβοι για την κίνηση C2 και την εξαγωγή δεδομένων, αναμεμειγμένοι με τις κανονικές ροές δικτύου.
Πρόσθετα βοηθητικά προγράμματα με οπλισμό:
- CurlCat – αμφίδρομη μεταφορά δεδομένων μέσω HTTPS μέσω παραβιασμένων ιστότοπων
MucorAgent: Ένα προσαρμοσμένο όπλο επιμονής
Στην καρδιά της καμπάνιας βρίσκεται το MucorAgent, ένα ειδικά κατασκευασμένο .NET backdoor που κλέβει αναγνωριστικά κλάσης COM (CLSID) που συνδέονται με το Native Image Generator (Ngen), ένα ενσωματωμένο στοιχείο του .NET Framework.
Το Ngen, αν και έχει σχεδιαστεί για την προμεταγλώττιση συναρμολογήσεων, μπορεί να χρησιμεύσει ως ένας συγκαλυμμένος μηχανισμός διατήρησης. Οι επιτιθέμενοι εκμεταλλεύονται μια απενεργοποιημένη προγραμματισμένη εργασία που συνδέεται με το Ngen, η οποία περιστασιακά ενεργοποιείται απρόβλεπτα, κατά τη διάρκεια αδράνειας ή αναπτύξεων εφαρμογών, επιτρέποντάς τους να αποκαταστήσουν την πρόσβαση σε επίπεδο SYSTEM χωρίς να ενεργοποιήσουν συναγερμούς.
Το εμφύτευμα MucorAgent λειτουργεί σε τρία στάδια, εκτελώντας κρυπτογραφημένα σενάρια PowerShell και στέλνοντας τα αποτελέσματα σε διακομιστές που ελέγχονται από εισβολείς. Τα ωφέλιμα φορτία φορτώνονται στη μνήμη και διαγράφονται αμέσως μετά, αφήνοντας ελάχιστα εγκληματολογικά ίχνη.
Μεθοδικός, Προσαρμοστικός και Αθόρυβος
Τα Curly COMrades επιδεικνύουν προτίμηση στην μυστικότητα έναντι της καινοτομίας, βασιζόμενα σε δημόσια εργαλεία, βοηθητικά προγράμματα ανοιχτού κώδικα και LOLBins αντί να εκμεταλλεύονται τρωτά σημεία zero-day. Οι λειτουργίες τους δίνουν έμφαση στην επιμονή και την προσαρμοστικότητα χαμηλού θορύβου, χρησιμοποιώντας τόσο κοινά όσο και προσαρμοσμένα εργαλεία για τη διατήρηση μακροπρόθεσμου ελέγχου χωρίς να εγείρουν υποψίες.
